creando un programa de seguridad informatica
DESCRIPTION
Conceptos basicos para la generacion de un plan de seguridad informaticaTRANSCRIPT
Creando un programa de seguridad
PorPedro Colmenares
Gerente de innovaciónDigifact Inc.
@pcolmenares
Un consejo antes de comenzar
“No se puede generar la solución de un problema usando el mismo sistema de pensamiento que se
uso para generarlo”. Albert Einstein
Esquemas de seguridad
• Son todas las estrategias, desarrollos, operaciones y esfuerzos, encaminados a agregar seguridad a uno o varios procesos dentro de una organización
• Los sistemas hacen parte de un esquema de seguridad ( pero no son lo único)
• Los esquemas de seguridad se construyen con hábitos
Que tan seguro, es algo seguro.• Una cosa son datos y otra
información
• Hay que entender cual es el “ciclo” de la información
• Tener claro el concepto de “cadena de seguridad”
• Los sistemas de seguridad, deben ser un reflejo de los esquemas de seguridad.
• Debe protegerse:
• El acceso
• El dato
• La información
• El archivo
• El ciclo
Acceso• Puntos clave
• Biométricos
• Sistema único de identificación
• Los niveles
• Físico (capa 1)
• Vlan (capa 2)
• Conectividad (capa 3)
• Usuario (capa 5,6)
• Aplicaciones (capa 7)
Acceso
Datos
• Transporte ( GRE y sus hijos)
• Identificación segura de equipos de encaminamiento
• Llaves y certificados
• Mecanismos
Datos
Información
• Encripción
• Replicación
• Unicidad
• Respaldos
• Sistemas distribuidos
Información
El Ciclo
• La unicidad e identificación del usuario
• La generación de los datos
• Las aplicaciones de transformación
• La generación de la información
• Su transporte
• Su distribución
• Su archivado
El Ciclo
El Archivo
• Tiempo de vida de la información
• Pertinencia
• Recuperación
• Capacidad de actualización
• Cadena de seguridad
El Archivo
Plan de seguridad
• Diagnostico
• Diseño
• Evaluación
Diagnostico
• ¿Que vamos a proteger?
• ¿De que lo vamos a proteger?
• ¿En que nivel estamos ahora?
Diseño
• Crear políticas (hábitos)
• Crear plan
• Crear esquema de ejecución
Evaluación
• Pruebas de procedimiento
• Pruebas de recuperación
• Pruebas de protocolos
• “Solo el arco que se tensa al máximo, sirve”
¿hablamos de que?
• Sistemas Operativos y nivel de seguridad instalado,
• Tipo de redes utilizadas y topología de las mismas,
• Conexiones a redes externas a la entidad,
• Servidores de uso interno y externo,
• Configuración de los servicios,
• Barreras de protección y su arquitectura,
• Empleo de Firewall, de Hosts Bastiones, Sistemas Proxy, etc.
• Filtrado de paquetes,
• Herramientas de administración y monitoreo,
• Habilitación de trazas y subsistemas de auditoría,
• Establecimiento de alarmas del sistema,
• Sistemas de protección criptográfica,
• Dispositivos de identificación y autenticación de usuarios,
• Protección contra programas no deseados,
• Software especiales de seguridad,
• Medios técnicos de detección de intrusos,
• Cerraduras de disqueteras.....etc
La bitácora es clave• Registro de inspecciones.
• Registro y control de los soportes.
• Registro de software de nueva adquisición.
• Registro de entrada, salida y movimiento de tecnologías de información.
• Registro de incidencias de la Seguridad Informática.
Metodología
• Cumplir con los estándares en cada área
• Usar esquemas de documentación estándar
• Generar conocimiento
• Recordad que un “Esquema de Seguridad” es mas que un “Sistema de Seguridad”
• “Afilar el hacha”
Pedro ColmenaresGerente de Innovación
[email protected]@pcolmenareswww.digifact.biz